Thorchain subisce una perdita di quasi 11 milioni di dollari a causa di un attacco che ha compromesso il processo di ricircolo dei fondi su quattro blockchain

Fondi Thorchain compromessi

L'investigatore on-chain ZachXBT ha segnalato per primo l'incidente tramite il suo canale Telegram, stimando inizialmente una perdita superiore a 7,4 milioni di dollari, prima che le stime riviste portassero il totale a un livello più alto. La violazione ha colpito i vault su Bitcoin, Ethereum, BNB Smart Chain e Base.

Il metodo di attacco si è concentrato su un "vault churn", un processo standard di Thorchain in cui gli operatori dei nodi ruotano in entrata e in uscita mentre le risorse vengono ridistribuite utilizzando schemi di firma a soglia. Gli aggressori sembrano aver iniettato indirizzi dannosi in quel processo, ingannando il sistema affinché autorizzasse trasferimenti che non avrebbe dovuto approvare.

Le risorse rubate includono circa 3.443 ETH del valore di 7,77 milioni di dollari, 36,85 BTC del valore di circa 2,97 milioni di dollari, 96,6 BNB del valore di circa 66.000 dollari e token aggiuntivi, tra cui, secondo le prime segnalazioni, 798.000 USDC. Tre indirizzi utilizzati per il furto sono stati segnalati pubblicamente su Bitcoin ed Ethereum affinché le società di sicurezza potessero rintracciarli.

Gli operatori dei nodi hanno reagito rapidamente attivando l'arresto di emergenza globale decentralizzato di Thorchain tramite le impostazioni di governance Mimir del protocollo. L'arresto ha sospeso gli swap, il vault churning e la firma sulle catene interessate a partire dal blocco 26190429 circa. Le transazioni RUNE sulla catena nativa sono proseguite in modo limitato.

RUNE, il token nativo di Thorchain, ha subito un calo del 12-15% nelle ore successive all'allerta di ZachXBT. Il token è sceso da circa 0,58 $ a circa 0,50 $ sui principali exchange. I fornitori di liquidità e gli utenti rimangono in attesa mentre le società di sicurezza, tra cui Peckshield e Cyvers, monitorano gli indirizzi segnalati.

Al momento della stesura di questo articolo, l'account @Thorchain su X non aveva pubblicato nulla di pubblico riguardo all'exploit. Non è stato rilasciato alcun resoconto ufficiale e i fondi presso gli indirizzi identificati sembrano in gran parte inattivi. Thorchain ha già affrontato attacchi a livello di protocollo in passato. Nel luglio 2021, diversi exploit mirati al router ETH hanno prosciugato tra i 4,9 e gli 8 milioni di dollari. Il team ha coperto le perdite attingendo dalla tesoreria e ha sospeso il protocollo per apportare le correzioni. L'attuale exploit segue un profilo di minaccia diverso, ma colpisce un punto debole già noto: il processo di migrazione del vault. L'architettura del protocollo è stata costruita per evitare punti di errore centralizzati. Gestisce più di 90 nodi decentralizzati, non detiene alcuna chiave amministrativa unica ed evita gli asset wrapped. Tale progettazione ha resistito a determinati tipi di attacchi, ma il processo di churn è stato ora identificato come una superficie vulnerabile.

Thorchain ha attirato l'attenzione anche nel 2025 e all'inizio del 2026 come canale per i fondi collegati all'hacking di Bybit, attribuito al Gruppo Lazarus con perdite vicine a 1,4 miliardi di dollari, e all'incidente di KelpDAO che ha coinvolto più di 175 milioni di dollari in swap da ETH a BTC. Questi flussi hanno generato commissioni per il protocollo ma hanno attirato critiche da parte dei ricercatori di conformità e sicurezza.

Si tratta di una vicenda in evoluzione. Le indagini sono ancora in corso e i fornitori di liquidità dovrebbero evitare di interagire con il protocollo fino alla ripresa delle negoziazioni e alla conferma di tutti i dettagli. Una volta che la situazione si sarà stabilizzata, è prevista un'analisi dettagliata da parte degli operatori dei nodi di Thorchain. Gli aggiornamenti saranno pubblicati sulle pagine della documentazione di Thorchain, sull'account @Thorchain X e sull'API Midgard non appena saranno disponibili.